ИМЯ

restorecon - восстановить SELinux-контексты безопасности файлов по умолчанию.

ОБЗОР

restorecon [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D] [-e directory] pathname ...

restorecon [-f infilename] [-e directory] [-r|-R] [-m] [-n] [-p] [-v] [-i] [-F] [-W] [-I|-D]

ОПИСАНИЕ

Эта страница руководства содержит описание программы restorecon.

Эта программа используется в основном для установки контекста безопасности (расширенных атрибутов) для одного или нескольких файлов.

Также можно запустить её в любой момент, чтобы исправить некорректные метки, добавить поддержку недавно установленной политики или, используя параметр -n , пассивно проверить, соответствуют ли установленные контексты файлов тем контекстам, которые указаны в активной политике (поведение по умолчанию).

Если объект файла не имеет контекста, restorecon запишет контекст по умолчанию в расширенные атрибуты объекта файла. Если объект файла имеет контекст, restorecon изменит только ту часть контекста безопасности, которая относится к типу. Параметр -F позволяет принудительно заменить контекст целиком.

Если у файла имеется метка настраиваемого типа SELinux customizable (список настраиваемых типов: /etc/selinux/{SELINUXTYPE}/contexts/customizable_types), restorecon выполнит сброс метки только при условии использования параметра -F.

Эта программа аналогична setfiles, но действует немного другим образом в зависимости от значения argv[0].

ПАРАМЕТРЫ

-e directory

исключить каталог (чтобы исключить более одного каталога, этот параметр необходимо использовать соответствующее количество раз; необходимо указывать полный путь).

-f infilename

infilename содержит список файлов для обработки. Используйте “-” для stdin.

-F

принудительно сбросить контекст, чтобы обеспечить соответствие file_context для настраиваемых файлов и соответствие контексту файлов по умолчанию для остальных файлов (меняются части контекста, связанные с пользователем, ролью, диапазоном, а также тип).

-h, -?

показать сведения об использовании и выйти.

-i

игнорировать файлы, которые не существуют.

-I

игнорировать дайджест, чтобы принудительно проверить метки, даже если хранимый дайджест SHA1 соответствует дайджесту SHA1 файлов спецификации. Затем (при условии отсутствия ошибок) дайджест будет обновлён. Более подробные сведения доступны в разделе ПРИМЕЧАНИЯ.

-D

установить или обновить дайджесты SHA1 для любых каталогов. Используйте этот параметр, чтобы включить использование расширенного атрибута security.restorecon_last.

-m

не выполнять чтение /proc/mounts для получения списка монтирований без seclabel, которые следует исключить из проверок с повторным проставлением меток. Установка этого параметра полезна при наличии смонтированной файловой системы без seclabel, в которой в расположенном ниже каталоге смонтирована файловая система с seclabel.

-n

не изменять метки файлов (пассивная проверка). Чтобы просмотреть файлы, метки которых были бы изменены, добавьте -v.

-o outfilename

этот параметр устарел и больше не поддерживается.

-p

показывать ход выполнения, выводя количество обработанных файлов (единица измерения - блок размером 1 КБ (то есть 1000 файлов)). Если выполняется повторное проставление меток во всей ОС, будет показан примерный процент выполнения. Обратите внимание, что параметры -p и -v являются взаимоисключающими.

-R, -r

рекурсивно изменить метки файлов для файлов и каталогов (спускаться по каталогам).

-v

показать изменения в метках файлов. Использование нескольких параметров -v увеличивает уровень детализации. Обратите внимание, что параметры -v и -p являются взаимоисключающими.

-W

показать предупреждения о записях, для которых не обнаружены соответствующие файлы, с помощью вывода результатов selabel_stats(3).

-0

предполагается, что разделителем для элементов ввода является символ нуля (вместо пробела). Символы кавычек и обратной косой черты также считаются обычными символами, которые могут формировать допустимый ввод. Этот параметр также отключает строку конца файла (end-of-file string), она обрабатывается, как любой другой аргумент. Это полезно, если элементы ввода содержат пробелы, кавычки или обратные косые черты. Параметр -print0 GNU find производит ввод, подходящий для этого режима.

АРГУМЕНТЫ

pathname ... Путь к файлу (файлам), для которых следует повторно проставить метки.

ПРИМЕЧАНИЯ

1.

restorecon не переходит по символическим ссылкам и по умолчанию не работает с каталогами рекурсивно.

2.

Если в pathname указан корневой каталог, установлен параметр -vR или -vr, а также запущена система аудита, в журнал с меткой сообщения FS_RELABEL автоматически записывается событие аудита, которое содержит сообщение о том, что произошло "массовое повторное проставление меток".

3.

Для повышения производительности при рекурсивном повторном проставлении меток в файловых системах (то есть тогда, когда установлен параметр -R или -r ), параметр -D команды restorecon обеспечит сохранение дайджеста SHA1 файлов спецификации по умолчанию в расширенном атрибуте с именем security.restorecon_last для каталогов, указанных в соответствующих путях pathname ... , после успешного завершения повторного проставления меток. Этот дайджест будет проверен, если команда restorecon -D будет перезапущена с теми же параметрами pathname. Подробные сведения доступны в selinux_restorecon(3).

Параметр -I позволяет игнорировать дайджест SHA1 из каждого каталога, указанного в pathname ... , и, при условии, что НЕ установлен параметр -n и установлен рекурсивный режим, для файлов будут необходимым образом повторно проставлены метки, а дайджест затем будет обновлён (если не будет ошибок).

СМОТРИТЕ ТАКЖЕ

setfiles(8), fixfiles(8), load_policy(8), checkpolicy(8), customizable_types(5)

АВТОРЫ

Эта man-страница была написана Dan Walsh <dwalsh@redhat.com>. Некоторая часть содержимого этой man-страницы была взята из man-страницы setfiles, написанной Russell Coker <russell@coker.com.au>. Программа была написана Dan Walsh <dwalsh@redhat.com>. Перевод на русский язык выполнила Герасименко Олеся <gammaray@basealt.ru>.